Componentes do Microsoft Defender para IoT
O sistema Microsoft Defender para IoT é criado para fornecer ampla cobertura e visibilidade de diversas fontes de dados.
A imagem a seguir mostra como os dados podem ser transmitidos ao Defender para IoT por sensores de rede e fontes de terceiros para oferecer uma exibição unificada da segurança de IoT/OT. O Defender para IoT no portal do Azure fornece inventários de ativos, avaliações de vulnerabilidade e monitoramento contínuo de ameaças.
O Defender para IoT conecta-se a componentes locais e de nuvem e é criado para escalabilidade em ambientes grandes e geograficamente distribuídos.
O Defender para IoT inclui os seguintes componentes de monitoramento de segurança de OT:
O portal do Azure, para gerenciamento de nuvem e integração com outros serviços Microsoft, como o Microsoft Sentinel.
Tecnologia Operacional (OT) ou sensores de rede de IoT Enterprise, para detectar dispositivos em toda a sua rede. Os sensores de rede do Defender para IoT são implantados em uma máquina virtual ou em um dispositivo físico. Os sensores de OT podem ser configurados como sensores conectados à nuvem ou sensores totalmente locais e gerenciados localmente.
Um console de gerenciamento local para gerenciamento e monitoramento centralizado de sensores de OT para ambientes locais desconectados.
Sensores de rede de IoT Enterprise de OT
Os sensores de rede do Defender para IoT descobrem e monitoram continuamente o tráfego da rede em todos os dispositivos da sua rede.
Os sensores de rede são desenvolvidos especificamente para redes de OT/IoT e se conectam a uma porta SPAN ou TAP de rede. Os sensores de rede do Defender para IoT podem fornecer visibilidade dos riscos em poucos minutos após a conexão com a rede.
Os sensores de rede usam mecanismos de análise com reconhecimento de OT/IoT e Inspeção Profunda de Pacotes (dpi) Camada -6 para detectar ameaças, como malware sem arquivos, com base em atividades anômalas ou não autorizadas.
A coleta de dados, o processamento, a análise e alertas ocorrem diretamente no sensor, o que pode ser ideal para locais com baixa largura de banda ou conectividade de alta latência. Somente a telemetria e os insights são transferidos ao gerenciamento, seja para o portal do Azure ou para um console de gerenciamento local.
Para obter mais informações, confira Caminho de implantação do Defender para IoT OT.
Sensores conectados à nuvem versus locais de OT
Os sensores conectados à nuvem são sensores conectados ao Defender para IoT no Azure e diferem dos sensores gerenciados localmente da seguinte maneira:
Quando você tem um sensor de rede de OT conectado à nuvem:
Todos os dados detectados pelo sensor são exibidos no console do sensor, mas as informações de alerta também são entregues ao Azure, onde podem ser analisados e compartilhados com outros serviços do Azure.
Os pacotes de inteligência contra ameaças da Microsoft também podem ser enviados automaticamente aos sensores conectados à nuvem.
O nome do sensor definido durante a integração é o nome exibido no sensor e é somente leitura do console do sensor.
Em contraste, ao trabalhar com sensores gerenciados localmente:
Exiba todos os dados de um sensor específico do console do sensor. Para obter uma exibição unificada de todas as informações detectadas por vários sensores, use um console de gerenciamento local.
Você precisa carregar manualmente todos os pacotes de inteligência contra ameaças para sensores gerenciados localmente.
Os nomes dos sensores podem ser atualizados no console do sensor.
Para obter mais informações, consulte Gerenciar sensores de OT do console do sensor e Gerenciar sensores de OT do console de gerenciamento.
Mecanismos de análise do Defender para IoT
Os sensores de rede do Defender para IoT analisam dados ingeridos usando mecanismos de análise internos e disparam alertas com base no tráfego em tempo real e pré-registrado.
Os mecanismos de análise fornecem análise de perfil e aprendizado de máquina, análise de risco, um banco de dados de dispositivo e um conjunto de insights, inteligência contra ameaças e análise comportamental.
Por exemplo, o mecanismo de detecção de violação de política cria modelos de redes de sistemas de controle industrial (SCI) para detectar desvios do comportamento de "base de referência" esperado utilizando a Detecção de Anomalias Comportamentais (BAD), conforme descrito no NISTIR 8219. Essa base de referência é desenvolvida com o entendimento das atividades regulares que ocorrem na rede, como padrões de tráfego normais, ações do usuário e acessos à rede de SCI. A seguir, o sistema BAD monitora a rede para detectar qualquer desvio do comportamento esperado e sinaliza todas as violações de política. Exemplos de desvios da base de referência incluem o uso não autorizado de códigos de função, o acesso a objetos específicos ou alterações na configuração de um dispositivo.
Como muitos algoritmos de detecção foram criados para redes de TI, não de OT, a linha de base extra para redes de ICS ajuda a reduzir a curva de aprendizado dos sistemas para novas detecções.
Os sensores de rede do Defender para IoT incluem os seguintes mecanismos de análise principais:
Nome | Descrição | Exemplos |
---|---|---|
Mecanismo de detecção de violação de protocolo | Identifica o uso de estruturas de pacote e valores de campo que violam as especificações do protocolo ICS. As violações de protocolo ocorrem quando a estrutura do pacote ou os valores do campo não estão em conformidade com a especificação do protocolo. |
Um alerta de "Operação de MODBUS Ilegal (Código de Função Zero)" indica que um dispositivo primário enviou uma solicitação o código de função 0 para um dispositivo secundário. Essa ação não é permitida de acordo com a especificação do protocolo e o dispositivo secundário pode não lidar com a entrada corretamente |
Violação de Política | Uma violação de política ocorre com um desvio do comportamento de linha de base definido nas configurações ajustadas ou aprendidas. | Um alerta de "Agente de Usuário HTTP Não Autorizado" indica que um aplicativo que não foi aprendido ou aprovado pela política está sendo usado como um cliente HTTP em um dispositivo. Isso pode ser um novo navegador da Web ou aplicativo nesse dispositivo. |
Mecanismo de detecção de malware industrial | Identifica comportamentos que indicam a presença de atividades maliciosas na rede por meio de malwares conhecidos, como Conficker, Black Energy, Havex, WannaCry, NotPetya e Triton. | Um alerta de "Suspeita de atividade mal-intencionada (Stuxnet)" indica que o sensor detectou uma atividade de rede suspeita conhecida por estar relacionada ao malware Stuxnet. Esse malware é uma ameaça persistente avançada voltada para o controle industrial e para as redes SCADA. |
Mecanismo de detecção de anomalias | Detecta comportamentos e comunicações M2M (entre computadores) incomuns. Esse mecanismo modela redes ICS e, portanto, requer um período de aprendizado menor do que a análise desenvolvida para TI. Anomalias são detectadas mais rapidamente, com mínimos falsos positivos. |
Um alerta de "Comportamento Periódico no Canal de Comunicação" reflete o comportamento periódico e cíclico da transmissão de dados, que é comum em redes industriais. Outros exemplos incluem tentativas excessivas de entrada do SMB e alertas detectados por verificações de PLC. |
Detecção de incidentes operacionais | Detecta problemas operacionais, como conectividade intermitente que pode indicar sinais antecipados de falha de equipamentos. | Um alerta de "Suspeita de que o Dispositivo esteja Desconectado (sem resposta)" é acionado quando um dispositivo não está respondendo a nenhum tipo de solicitação por um período predefinido. Esse alerta pode indicar desligamento, desconexão ou problemas do dispositivo. Outro exemplo seria se do comando Siemens S7 stop PLC fossem enviados alertas. |
Opções de gerenciamento
O Defender para IoT fornece suporte à rede híbrida usando as seguintes opções de gerenciamento:
O portal do Azure. Use o portal do Azure como um só painel de exibição com todos os dados ingeridos dos dispositivos por meio de sensores de rede conectados à nuvem. O portal do Azure fornece um valor extra, como pastas de trabalho, conexões com o Microsoft Sentinel, recomendações de segurança e muito mais.
Use também o portal do Azure para obter novos dispositivos e atualizações de software, integrar e manter seus sensores no Defender para IoT e atualizar pacotes de inteligência contra ameaças. Por exemplo:
Console do sensor de OT. Veja detecções para dispositivos conectados a um sensor de OT específico do console do sensor. Use o console do sensor para exibir um mapa de rede para dispositivos detectados por esse sensor, uma linha do tempo de todos os eventos que ocorrem no sensor, encaminhar informações do sensor para sistemas de parceiros e muito mais. Por exemplo:
O console de gerenciamento local. Em ambientes desconectados, você pode obter uma visão central dos dados de todos os seus sensores a partir de um console de gerenciamento local, usando ferramentas extras de manutenção e recursos de geração de relatórios.
A versão de software no console de gerenciamento local deve ser igual à da versão mais atualizada do sensor. Cada versão do console de gerenciamento local é compatível com versões de sensor mais antigas e compatíveis, mas não pode se conectar a versões mais recentes do sensor.
Para obter mais informações, confira Caminho de implantação do gerenciamento de sensores de OT desconectados.
Dispositivos monitorados pelo Defender para IoT
O Defender para IoT pode descobrir todos os dispositivos, de todos os tipos, em todos os ambientes. Os dispositivos são listados nas páginas de Inventário de dispositivos do Defender para IoT com base em um acoplamento de endereço MAC e IP exclusivo.
O Defender para IoT identifica os dispositivos individuais e exclusivos da seguinte maneira:
Tipo | Descrição |
---|---|
Identificados como dispositivos individuais | Os dispositivos identificados como dispositivos individuais incluem: Dispositivos de TI, OT ou IoT com uma ou mais NICs, incluindo dispositivos de infraestrutura de rede, como comutadores e roteadores Observação: um dispositivo com módulos ou componentes de backplane, como racks ou slots, é contado como um só dispositivo, incluindo todos os módulos ou componentes de backplane. |
Não identificados como dispositivos individuais | Os seguintes itens não são considerados como dispositivos individuais e não contam com sua licença: - Endereços IP públicos da Internet - Grupos multicast - Difundir grupos - Dispositivos inativos Os dispositivos monitorados pela rede são marcados como inativos quando não há nenhuma atividade de rede detectada dentro de um tempo especificado: - Redes OT: nenhuma atividade de rede detectada por mais de 60 dias - Redes Enterprise IoT: nenhuma atividade de rede detectada por mais de 30 dias Observação: os pontos de extremidade já gerenciados pelo Defender para Ponto de Extremidade não são considerados como dispositivos separados pelo Defender para IoT. |